• <abbr id="ogqwo"></abbr>
    <ul id="ogqwo"></ul>
    <ul id="ogqwo"><sup id="ogqwo"></sup></ul>
      <dfn id="ogqwo"></dfn>
      <abbr id="ogqwo"></abbr>
    • <ul id="ogqwo"></ul>
    • 長揚科技深度解讀 《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》:關(guān)基運營者視角下的安全保障能力建設(shè)

      文章來源:
      字體:
      發(fā)布時間:2022-11-22

      要求提供者聲明不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)和設(shè)備,或利用用戶對產(chǎn)品的依賴性謀取不正當利益或者迫使用戶更新?lián)Q代。

      應建立和維護合格供應方目錄。應選擇有保障的供應方,防范出現(xiàn)因政治、外交、貿(mào)易等非技術(shù)因素導致產(chǎn)品和服務(wù)供應中斷的風險。

      應自行或委托第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)對定制開發(fā)的軟件進行源代碼安全檢測,或由供應方 提供第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)出具的代碼安全檢測報告。

      長揚科技解讀

      由于我國關(guān)鍵基礎(chǔ)設(shè)施行業(yè)例如電力、石油化工、燃氣水務(wù)等行業(yè),其核心工業(yè)控制系統(tǒng)大部分被國外壟斷,在國內(nèi)外日益嚴峻的大背景下,為了避免出現(xiàn)因為“卡脖子”而影響關(guān)基企業(yè)運行安全的事件,供應鏈安全的重要性日益凸顯。本次《要求》新增供應鏈安全,對于國家關(guān)鍵信息基礎(chǔ)設(shè)施運營者在未來的采購、建設(shè)、運行、升級、管理等方面,都提供了有力的要求。

      3.2.4 新增數(shù)據(jù)安全防護

      2021年9月1日施行的《中華人民共和國數(shù)據(jù)安全法》中,第三十一條提到:對關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中國境內(nèi)運營中收集和產(chǎn)生的重要數(shù)據(jù)進行管理。

      《要求》中對于數(shù)據(jù)安全防護,應建立數(shù)據(jù)安全管理責任和評價考核制度,包括數(shù)據(jù)安全保護計劃、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全事件應急預案,組織數(shù)字安全教育等。同時對數(shù)據(jù)分類分級、保護個人數(shù)據(jù)的重要性、數(shù)據(jù)備份等方面做出要求。另外還首次對廢棄數(shù)據(jù)處理作出要求,要求按照數(shù)據(jù)安全保護策略對儲存的數(shù)據(jù)進行處理。

      長揚科技解讀

      中央在2020年提出數(shù)據(jù)已經(jīng)成為除土地、勞動力、資本、技術(shù)之外的第五個要素。《要求》的發(fā)布是繼《數(shù)據(jù)安全法》發(fā)布后,再一次把數(shù)據(jù)安全作為綱領(lǐng)性要求進行了獨立闡述,也詮釋了數(shù)據(jù)作為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的重要性。運營者應加強對數(shù)據(jù)分類分級管理,以及對數(shù)據(jù)的使用、加工、傳輸、提供和公開等環(huán)節(jié)進行全生命周期保護。

      3.3 檢測評估

      《要求》中對檢測評估的定義為:為檢驗安全防護措施的有效性,發(fā)現(xiàn)網(wǎng)絡(luò)安全風險隱患,應建立相應的檢測評估制度,確定檢測評估流程及內(nèi)容等,開展安全檢測與風險隱患評估,分析潛在安全風險可能引發(fā)的安全事件。

      長揚科技解讀

      對比等保2.0要求可以發(fā)現(xiàn),“商用密碼應用安全性評估情況、數(shù)據(jù)安全防護情況、供應鏈安全保護情況、攻防演練”等內(nèi)容,首次作為檢測評估項被明確提出,由此可見,在未來的關(guān)保檢查工作當中,運營者需要重點關(guān)注在以上方面自身的能力建設(shè),彌補相關(guān)短板。

      3.3.1 檢測評估工作流程

      檢測評估工作開展前,應明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估活動的背景、目標、原則、依據(jù),充分調(diào)研檢測評估對象所屬行業(yè)的相關(guān)標準及政策文件的要求,確定檢測評估工作任務(wù)。具體工作流程如下圖所示:

      image.png

      圖7 關(guān)基檢測評估工作流程圖

      新聞爆料

      圖片精選